Aktuell gibt es zum Thema Datenschutz drei Nachrichten, die erwähnenswert sind: ein Leitfaden des BITKOM "Das Verfahrensverzeichnis", die Ankündigung der Europäischen Kommission zum "Privacy Shield" und die Frage, ob die GoBD dem BDSG widersprechen.

Verfahrensverzeichnis

Der BITKOM-Leitfaden "Das Verfahrensverzeichnis" gibt eine "Übersicht über die Verfahren automatisierter Verarbeitungen nach § 4g Absatz 2 Bundesdatenschutzgesetz (BDSG)" – also was darf wie verarbeitet und gespeichert werden und wie ist dies zu dokumentieren. Die Einleitung:

<Zitat> Änderungen in der Gesetzgebungs- und Aufsichtspraxis bis Dezember 2015 wurden berücksichtigt. Im Dezember 2015 wurde das Trilogverfahren zur EU-Datenschutzgrundverordnung (EU-DSGVO-E) abgeschlossen. Sie wird nach Ende der Übergangsfristen Mitte des Jahres 2018 weite Teile des geltenden Datenschutzrechts ablösen. Auch die Vorgaben zur Führung eines Verfahrensverzeichnisses werden sich 2018 ändern, da zwar die allgemeine Meldepflicht nach § 4d Abs. 1 BDSG entfällt, gleichwohl eine allgemeine Dokumentationspflicht für die verantwortliche Stelle und auch Auftragsdatenverarbeiter bestehen bleibt (Artikel 28 DS-GVO-E). Da diese wiederum Informationen zur verantwortlichen Stelle, dem Zweck der Verarbeitung, Daten- und Personenkategorien, Übermittlungen sowie Löschfristen und Sicherungsmaßnahmen umfasst, wird weiterhin das Datenschutzmanagement dokumentiert werden müssen, sofern der Betrieb nicht gemäß §28 Abs.4 EU-DS-GVO-E befreit ist. Außerdem wird zukünftig bei zahlreichen Anwendungen Art. 33 EU-DS-GVO-E ein »privacy impact assessment« erforderlich, also eine risikobasierte Folgenabschätzung. Auch hierfür ist eine genaue Dokumentation empfehlenswert. Die vorliegende Publikation deckt also nicht nur den Zeitraum bis 2018 ab, sondern kann Basis der Anpassung an die dann anzuwendenden Vorschriften sein.</Zitat>. Dies alles angesichts der Änderungen durch die europäische Datenschutz-Grundverordnung (DS-GVo oder international GDPR).

Wie das Inhaltsverzeichnis des 36seitigen Dokumentes zeigt, ist das Verfahrensverzeichnis nichts anderes als eine Art "Verfahrensdokumentation":

1 Einführung
2 Das Verfahrensverzeichnis 
2.1 Begriffsbestimmungen 
2.2 Ziel und Zweck des Verfahrensverzeichnisses
2.3 Der Zusammenhang zwischen Meldepflicht und Verfahrensverzeichnis
2.4 Verantwortlichkeiten
2.4.1 Die Geschäftsführung
2.4.2 Der Datenschutzbeauftragte
2.4.3 Auftragsdatenverarbeitung und Funktionsübertragung
2.5 Inhalt und Aufbau des Verfahrensverzeichnisses
2.5.1 Öffentliches Verfahrensverzeichnis
2.5.2 Internes Verfahrensverzeichnis
2.6 Definition eines Verfahrens
2.7 Ausnahmen von der Meldepflicht
2.8 Form des Verfahrensverzeichnisses
2.9 Einsicht oder Veröffentlichung
3 Erstellen des Verfahrensverzeichnisses
3.1 Sensibilisierungsphase
3.2 Informationsphase
3.3 Abfragephase
3.4 Beratungsphase
3.5 Konsolidierungsphase
3.6 Umsetzungsphase
3.7 Vorabkontrolle und Zulässigkeitsprüfung
3.8 Pflegephase
4 Softwareprogramme zur Führung des Verfahrensverzeichnisses
5 Anhang
5.1 Beispiele für öffentliche Verfahrensverzeichnisse
5.1.1 Beispiel für ein öffentliches Verfahrensverzeichnis bei einstufigem
Vorgehen in Tabellenform
5.1.2 Beispiel für ein öffentliches Verfahrensverzeichnis in Textform
5.2 Beispiel für ein internes Verfahrensverzeichnis bei einstufigem Vorgehen
5.3 Formulare zur Erfassung der Verfahrensverzeichnisse
5.3.1 Formular: Meldung einer automatisierten Verarbeitung
5.3.2 Formular: Meldung Fehlanzeige
5.3.3 Formular für interne Prüfvermerke des Datenschutzbeauftragten
5.3.4 Checkliste zu den technischen und organisatorischen Maßnahmen
5.3.5 Erläuterungen zu den Formularen
5.4 Anbieter von Softwareprogrammen zur Erstellung des Verfahrensverzeichnisses

Privacy Shield

Nach dem Scheitern von Safe Harbor kamen mehrere Anläufe zu einem neuen Abkommen, dass nun als EU-US Privacy Shield von der Europäischen Kommission vorgestellt wurde: 

<Zitat> On February, 29 the European Commission issued the legal texts that will put in place the EU-U.S. Privacy Shield and a Communication summarising the actions taken over the last years to restore trust in transatlantic data flows since the 2013 surveillance revelations.

The Commission has

(i) finalised the reform of EU Data protection rules, which apply to all companies providing services on the EU market,

(ii) negotiated the EU-U.S. Umbrella Agreement ensuring high data protection standards for data transfers across the Atlantic for law enforcement purposes, and

(iii) achieved a renewed sound framework for commercial data exchange: the EU-U.S. Privacy Shield.

The  contents of new Privacy Shield will be:

• strong obligations on companies and robust enforcement: the new arrangement will be transparent and contain effective supervision mechanisms to ensure that companies respect their obligations, including sanctions or exclusion if they do not comply. The new rules also include tightened conditions for onward transfers to other partners by the companies participating in the scheme.
• clear safeguards and transparency obligations on U.S. government access: for the first time, the U.S. government has given the EU written assurance from the Office of the Director of National Intelligence that any access of public authorities for national security purposes will be subject to clear limitations, safeguards and oversight mechanisms, preventing generalised access to personal data. U.S. Secretary of State John Kerry committed to establishing a redress possibility in the area of national intelligence for Europeans through anOmbudsperson mechanism within the Department of State, who will be independent from national security services. The Ombudsperson will follow-up complaints and enquiries by individuals and inform them whether the relevant laws have been complied with. These written commitments will be published in the U.S. federal register.
• Effective protection of EU citizens’ rights with several redress possibilities: Complaints have to be resolved by companies within 45 days. A free of charge Alternative Dispute Resolution solution will be available. EU citizens can also go to their national Data Protection Authorities, who will work with the Federal Trade Commission to ensure that unresolved complaints by EU citizens are investigated and resolved. If a case is not resolved by any of the other means, as a last resort there will be an arbitration mechanism ensuring an enforceable remedy. Moreover, companies can commit to comply with advice from European DPAs. This is obligatory for companies handling human resource data.
• Annual joint review mechanism: the mechanism will monitor the functioning of the Privacy Shield, including the commitments and assurance as regards access to data for law enforcement and national security purposes. The European Commission and the U.S. Department of Commerce will conduct the review and associate national intelligence experts from the U.S. and European Data Protection Authorities. The Commission will draw on all other sources of information available, including transparency reports by companies on the extent of government access requests. The Commission will also hold an annual privacy summit with interested NGOs and stakeholders to discuss broader developments in the area of U.S. privacy law and their impact on Europeans. On the basis of the annual review, the Commission will issue a public report to the European Parliament and the Council. <Zitat>

Ob sich dieses Verfahren nun bewähren wird? Kritik gab es im Vorfeld mehrfach und sie ist nicht ausgeräumt, z.B. hier CIO. Die Details der Vereinbarung stehen noch aus, Heise.de spricht von einem "Balance-Akt".

GoBD & Datenschutz

Und dann gibt es noch eine neue Kritik an den GoBD: im NWB-Experten-Blog wird gefragt "Verstoßen die GoBD gegen das Bundesdatenschutzgesetz?"

<Zitat> Die GoBD verlangen an mehreren Stellen die Unveränderbarkeit der einmal erhobenen Daten. Dabei wird nicht nur die Unveränderbarkeit des eigentlichen Buchführungswerks, sondern auch der eingesetzten Vorsysteme verlangt. Beispielsweise gilt die Voraussetzung der Unveränderbarkeit auch für Warenwirtschaftssysteme.  Auch Stammdaten dürfen nicht gelöscht werden. Nun stelle ich mir allerdings die Frage, inwieweit die Anforderungen der Finanzverwaltung mit dem Bundesdatenschutzgesetz (BDSG) in Einklang gebracht werden können. Denn nach § 35 BDSG müssen personenbezogene Daten in bestimmten Fällen gelöscht werden. Zudem heißt es in Absatz 2 der Vorschrift, dass personenbezogene Daten – von Ausnahmen abgesehen – jederzeit gelöscht werden können.

§ 35 BDSG ist Ausfluss des Rechts auf informelle Selbstbestimmung, das wiederum eine Ausprägung des allgemeinen Persönlichkeitsrechts darstellt und durch Artikel 1 und 2 des GG geschützt ist. Eine Verwaltungsanweisung, die die GoBD nun einmal sind, kann § 35 BDSG nicht aushebeln und ein Grundrecht schon gar nicht berühren. In der Praxis bedeutet dies, dass zumindest bestimmte Programme, die bei Mandanten im Einsatz sind, die Möglichkeit der Löschung von personenbezogenen Daten sogar zwingend vorsehen müssen. Meines Erachtens besteht in diesen Fällen seitens der Betriebsprüfung kein Raum, um anschließend die Revisionssicherheit der entsprechenden Vorsysteme anzuzweifeln. Ich würde mich freuen, wenn es zu diesem Punkt zu einer lebhaften Diskussion kommen wird. Übrigens soll das BMF die Problematik kennen und an einer Lösung arbeiten (was bedeutet, dass es noch keine Lösung gibt). </Zitat> 

In den GoBS war es geregelt – die Bestimmungen des Handelsgesetzes haben Vorrang vor dem Datenschutz. Bei den GoBD gibt es noch die andere oder andere offene Flanke.